tsunami (virus per linux ed osx)

[navajo]

Beh, la sicurezza è la sicurezza, è bene essere diffidenti ma senza esagerare.
Come già detto, la vulnerabilità maggiore di un sistema operativo è tra la tastiera e la sedia, se si possiede la testa sopra al collo è possibile utilizzare addirittura window$ senza antivirus.
Per quanto riguarda la fiducia alle aziende produttrici di software, purtroppo, per vivere bene, bisogna darla; In realtà tutti i giorni ognuno di noi lo fa, qualche esempio:
-Non si sa cosa ci propinano da mangiare, cosa contiene il "Mars", la "Coca cola" o la semplice birra? Chi mi dice che alla voce "ingredienti" vi sono proprio tutti quelli reali?
-Chi mi dice che nella mia Volkswagen non c'è un dispositivo che la fa spegnere a comando di un tizio?
-Il mio router invia in Zyxel tutte le mie visitazioni a scopo commerciale?
-La playstation è una macchina per il lavaggio del cervello? (mmmm, forse si)
-Gatto o coniglio? Il mistero mai svelato dei ristoranti... (pare un titolo del TG1)
-etc...

Inoltre, chi di voi, prima di compilare qualcosa da sorgenti, si controlla riga per riga il codice sorgente? Uno dice, ma siamo milioni di utenti, se c'è qualcosa nel codice lo si viene a sapere prima o poi! Già, è il "prima o poi" che non va bene.

Saluti,
MuRdOcK

Quoto tutto.

[EmaDaCuz]

Inoltre, chi di voi, prima di compilare qualcosa da sorgenti, si controlla riga per riga il codice sorgente? Uno dice, ma siamo milioni di utenti, se c'è qualcosa nel codice lo si viene a sapere prima o poi! Già, è il "prima o poi" che non va bene.

Io quoto questo in particolare. E anche se lo facessi, non ci capirei comunque niente visto che non sono un programmatore.

[brg]

Inoltre, chi di voi, prima di compilare qualcosa da sorgenti, si controlla riga per riga il codice sorgente? Uno dice, ma siamo milioni di utenti, se c'è qualcosa nel codice lo si viene a sapere prima o poi! Già, è il "prima o poi" che non va bene.

Se non funziona come dovrebbe però lo faccio e, soprattutto, lo posso fare, il che facilita la cura perché vengo a sapere esattamente che cosa è successo. Inoltre facilita la prevenzione perché posso evitare il malfunzionamento, involontario o malintenzionato, semplicemente modificando e ricompilando. Se qualcosa non va con il Mars, tocca farlo analizzare al laboratorio specializzato, che è un procedimento certamente più laborioso, e poi intentare una causa per costringerli a cambiare (l'etichetta degli ingredienti truffaldina oppure l'uso di sostanze inadeguate).

Faccio inoltra notare che mentre la versione OSX si propaga attraverso l'apertura di un pdf, quella Linux si propaga(va) per una falla di PHP-Nuke... e aggiungo ...

L'originale per Linux (del 2005) è descritto qui e qui .

[masalapianta]

1) non è un virus ma un trojan
2) la presenza di trojan per un OS non ha nulla a che vedere con la sicurezza di quel OS
3) dal poco che è stato scritto in merito mi par di capire che il trojan è un file eseguibile che, una volta eseguito dall'utente, apre in foreground un pdf e in background installa il trojan

probabilmente il file manager di osx lo visualizzerà con l'icona di un eseguibile e non di un pdf, ma l'utente distratto ci clicca lo stesso; ovviamente tutto questo non sarebbe possibile con un:
$ mupdf pdf_farlocco.pdf

[masalapianta]

Inoltre, chi di voi, prima di compilare qualcosa da sorgenti, si controlla riga per riga il codice sorgente? Uno dice, ma siamo milioni di utenti, se c'è qualcosa nel codice lo si viene a sapere prima o poi! Già, è il "prima o poi" che non va bene.

gli episodi di malware dentro software libero, sono più unici che rari perchè, essendo a sorgenti aperti, solo a un cretino verrebbe in mente di usare software libero per veicolare malware (e infatti praticamente nessuno lo fa).
Per questo solo un imbecille affiderebbe la propria privacy a soluzioni chiuse.

[Plaoo]

Mi ricordo di un gioco per linux (il nome era Darkness o roba del genere) avevo scaricato la demo, provo ad avviarlo e non ci riesco perchè ero obbligato ad essere root, non ci ho mai giocato. Il gioco veniva dal sito ufficiale ma non mi sono mai fidato. Ecco queste solo le cose che anche gli sviluppatori dovrebbero evitare.

[targzeta]

Inoltre, chi di voi, prima di compilare qualcosa da sorgenti, si controlla riga per riga il codice sorgente? Uno dice, ma siamo milioni di utenti, se c'è qualcosa nel codice lo si viene a sapere prima o poi! Già, è il "prima o poi" che non va bene.

gli episodi di malware dentro software libero, sono più unici che rari perchè, essendo a sorgenti aperti, solo a un cretino verrebbe in mente di usare software libero per veicolare malware (e infatti praticamente nessuno lo fa).
Per questo solo un imbecille affiderebbe la propria privacy a soluzioni chiuse.

Quoto. Volevo scrivere qualcosa di simile ma poi mi sono dimenticato .

Chi rischierebbe di essere sgamato? Una volta che ti hanno beccato hai perso credibilità. Se un programma apre una porta lo puoi sempre vedere con 'netstat -l' senza bisogno di sbirciare tutto il codice. Se ti puzza quello che un programma fa, poi, dato che il software è aperto puoi anche indagare meglio. E questo vale anche se un programma apre una connessione solo per inviare alcuni pacchetti. Tantissimi usano software per il monitoraggio della propria rete.

Con i programmi chiusi invece questo controllo non lo puoi fare. Ho scritto spesso l'esempio seguente qui sul forum. Prendi windows, è impossibile bloccare tutti i server che avvia, io ci ho provato su XP e se li blocchi tutti con un firewall non navighi più (ben vengano le smentite in questo senso). Il problema è che chissa cosa fanno quei server, anche se prendessi tutti i pacchetti diretti da e verso di loro, non è mica semplice capire cosa contengono.

Emanuele

[masalapianta]

Chi rischierebbe di essere sgamato? Una volta che ti hanno beccato hai perso credibilità. Se un programma apre una porta lo puoi sempre vedere con 'netstat -l' senza bisogno di sbirciare tutto il codice. Se ti puzza quello che un programma fa, poi, dato che il software è aperto puoi anche indagare meglio. E questo vale anche se un programma apre una connessione solo per inviare alcuni pacchetti. Tantissimi usano software per il monitoraggio della propria rete.

Con i programmi chiusi invece questo controllo non lo puoi fare. Ho scritto spesso l'esempio seguente qui sul forum. Prendi windows, è impossibile bloccare tutti i server che avvia, io ci ho provato su XP e se li blocchi tutti con un firewall non navighi più (ben vengano le smentite in questo senso). Il problema è che chissa cosa fanno quei server, anche se prendessi tutti i pacchetti diretti da e verso di loro, non è mica semplice capire cosa contengono.

Emanuele

aggiungo che l'analisi del traffico di rete non è sufficiente, in quanto non è detto che i dati escano in chiaro nel payload di pacchetti diretti a vifottiamo.com:666; i dati possono essere nascosti steganografandoli nel payload di pacchetti appartenenti a connessioni lecite, utilizzando flag non usate dell'header tcp, utilizzando il sequence number, ecc.. il che rende quasi impossibile accorgersene senza avere i sorgenti.

[notsafe]

gli episodi di malware dentro software libero, sono più unici che rari perchè, essendo a sorgenti aperti, solo a un cretino verrebbe in mente di usare software libero per veicolare malware (e infatti praticamente nessuno lo fa).

di recente memoria mi ricordo di questo:
http://arstechnica.com/open-source/news ... -stack.ars

concluso con un "nulla di fatto" dopo una revisione del codice (evidentemente non si era proprio cosi sicuri della sicurezza intrinseca al modello open)

oppure questo:
http://isc.sans.edu/diary.html?storyid=10024&rss

per tre giorni il codice sorgente di proftpd veniva distribuito con una backdoor.

[masalapianta]

gli episodi di malware dentro software libero, sono più unici che rari perchè, essendo a sorgenti aperti, solo a un cretino verrebbe in mente di usare software libero per veicolare malware (e infatti praticamente nessuno lo fa).

di recente memoria mi ricordo di questo:
http://arstechnica.com/open-source/news ... -stack.ars

concluso con un "nulla di fatto" dopo una revisione del codice (evidentemente non si era proprio cosi sicuri della sicurezza intrinseca al modello open)

non lo citerei come episodio significativo, come giustamente dici si è concluso con un "nulla di fatto"

oppure questo:
http://isc.sans.edu/diary.html?storyid=10024&rss

per tre giorni il codice sorgente di proftpd veniva distribuito con una backdoor.

attenzione qui si parla di cracking dei server e sostituzione del codice da parte di terzi, non inserimento di malware da parte dello stesso distributore; gli episodi del genere ogni tanto accadono (anni fa mi ricordo successe con sendmail), ma non hanno quasi nessuna ricaduta, perchè chi vuol star sicuro ha modo di stare sicuro lo stesso (checksum firmati digitalmente con crittografia asimmetrica)